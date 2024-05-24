5 月 1 日，UnitedHealth Group CEO Andrew Witty 出席国会听证会，就 2 月份发生的 Change Healthcare 勒索软件攻击接受质询。在听证会上，他承认集团已按攻击者要求支付了赎金。据报道，黑客组织 BlackCat（又名 ALPHV）通过比特币收到了 2200 万美元的赎金。
Witty 表示，尽管支付了勒索软件赎金，但 Change Healthcare 并没有取回数据。这在勒索软件攻击中很常见，也是包括 IBM 在内的许多专家不建议支付勒索软件赎金的众多原因之一。通过适当的备份和数据恢复流程，组织可以快速恢复自身数据，减少业务中断。2023 年，像 Change Healthcare 这样的勒索软件赎金总计达到了 11 亿美元，创下历史新高。
根据 Witty 的证词，2 月 12 日，勒索软件团伙 BlackCat 使用被泄露的凭据远程访问了 Change Healthcare Citrix 门户（该门户支持远程桌面访问）。该门户没有使用多因素身份验证。随后在 2 月 21 日，BlackCat 在 Change Healthcare 的信息技术环境中部署了勒索软件，对 Change 的所有系统进行了加密，导致这些系统无法访问。领导层不知道入侵点，于是切断了与 Change 数据中心的连接，从而阻止了恶意软件从 Change 环境传播到 UnitedHealth Group 的其他系统。
2024 X-Force Threat Intelligence Index 将始于 2021 年 11 月的 BlackCat 勒索软件确定为顶级勒索软件家族。以往的 BlackCat 攻击涉及医疗保健、政府、教育、制造业和酒店业等领域。不过，该团伙参与了多起攻击，造成了敏感医疗和财务数据泄露。通过使用 Rust 编程语言，BlackCat 可以对勒索软件进行自定义，使其变得非常难以检测和分析。此外，BlackCat 在攻击时常常采取双重勒索手段。
针对 Change Healthcare 的勒索软件攻击致使包含受保护健康信息 (PHI) 和个人身份信息 (PII) 的文件遭窃取。Witty 表示，此次泄露可能波及大量美国民众。然而，他表示，在他作证之时，被泄露的数据中似乎并未出现医生诊疗记录或完整病历。
美国医学会调查发现，由于 Change Healthcare 数据泄露事件影响广泛，五分之四的临床医生损失了收入，77％ 的临床医生遭受了服务中断。调查还发现，由于此次事件造成的账单危机，大多数诊所经营者 (55%) 被迫使用个人资金来支付账单和工资单。其他影响还包括审批处方和医疗程序的能力受到限制。
Change Healthcare 还报告称，此次攻击已导致 8.72 亿美元的损失，而且损失预计将超过 10 亿美元。目前，Change Healthcare 面临 24 起诉讼，并正在申请将这些索赔诉求合并为一项集体诉讼。
Witty 向国会表示，他亲自做出了支付勒索软件赎金的决定。他说，这是他做过的最艰难的决定之一，他不希望任何人面临这样的抉择。在支付勒索软件赎金后，威胁参与者仍然威胁要在暗网上分享数据。至今为止，仍未确定和恢复全部数据。
BlackCat 附属平台 RansomHub 泄露了部分被盗数据，并试图进行更多勒索，这使得恢复工作变得更加复杂。RansomHub 将被盗数据的屏幕截图分享给了暗网上的最高出价者。在 Change Healthcare 这样的大型泄露事件中，双重勒索的情况并不罕见，这也是许多人警告不要支付赎金的原因之一。
由于 Change Healthcare 正在执行恢复流程，Witty 告诉国会，他们仍在努力确定受此次数据泄露事件影响的人员并向这些人员发出通知。然而，许多医疗机构和团体认为应该加快这一过程。5 月 8 日，美国医院协会代表其成员正式致函，要求开展正式的通知程序。
美国医院协会 (AHA) 写道：“然而重要的是，UHG 必须正式通知美国卫生与公众服务部民权办公室 (OCR) 和州监管机构，UHG 将全权承担法律所要求的泄露通知责任，并向他们提供具体的通知时间表。”
随着事态的不断发展，尤其是国会听证会的影响，这一大规模而广泛的泄露事件的影响将继续显现。
要了解 IBM X-Force 如何帮助您处理网络安全相关事务，包括事件响应、威胁情报或攻击性安全服务，请在此预约会议。
如果遇到网络安全问题或事件，请联系 X-Force 寻求帮助：美国热线 1-888-241-9812 | 全球热线 (+001) 312-212-8034。